Neu Wawi Sicherheitslücke geschlossen? Details?

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
674
147
Hi,

wie recent.digital schon geschrieben hat, möchte ich nur sehr ungerne öffentlich breittreten um welche Library es sich im Detail handelt - das würde einem potenziellem Angreifer die Arbeit erheblich erleichtern. Ich bitte hier um Euer Verständnis.

Ich habe absolutes Verständnis wenn man nicht jedes unserer Releases mitnimmt - gerade bei vielen Clients. Warum updaten wenn das System doch macht was es soll? Auch Hotfixes die evtl. Module betreffen, die man selbst nicht nutzt kann man sich ggf. sparen und nimmt dann halt das nächste Release mit, wo wirklich Funktionen oder Fixes drin sind die man braucht.

Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Edit: Um die Frage "Lohnt sich das?" zu beantworten: Securityupdates lohnen sich nie - bis sie sich gelohnt hätten.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied, DASevents, Verkäuferlein und 2 andere

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.586
1.046
Zitat von Michael Spaltmann:
Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Nur um mal eine ungefähre Einschätzung der Brisanz zu haben und es auch für den Otto-Normal-Nutzer verständlicher zu machen, wie drigend ein Update möglicherweise ist:

In welchem Szenario ließe sich denn diese Sicherheitslücke der Library überhaupt ausnutzen?
Nur bei direktem (Schreib-)Zugriff auf die lokalen Rechner bzw. das lokale Netzwerk, sobald der Rechner am Internet hängt oder nur bei speziellen Konstellationen?

P.s.: Vielleicht sollte man den Thread auch besser in den nicht öffentlichen Bereich verschieben.
 
  • Gefällt mir
Reaktionen: John

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
397
77
Ich werde nicht ganz schlau aus dem Issue Tracker. Welche WAWI-Versionen waren denn davon betroffen und sollten daher ein Update erhalten? Dort sind ja nur sog. "Zielversionen" zu finden ... was bedeutet das?
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
854
270
Was ist eigentlich mit 1.5 und 1.6?
Nicht betroffen oder nicht gepatched weil abgekündigt? Ist 1.6 überhaupt abgekündigt?
 

recent.digital

Offizieller Servicepartner
SPBanner
8. Juli 2015
2.084
698
Wuppertal
In Zukunft, ab 1.9. werden die letzten beiden Stable unterstütze.

Das würde dann 1.8 und 1.9 bedeuten - alle anderen wären abgekündigt.

Ich hab jetzt nicht explizit nachgeschaut, daher ohne Gewähr.
 

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
674
147
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
397
77
Zitat von Michael Spaltmann:
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Diese Information jetzt genügt ja, um eine informierte Entscheidung zu treffen.
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Ähnliche Themen
Titel Forum Antworten Datum
Neu WAWI 1.9.8.0 In Lieferadresse fehlen wichtige Daten Amazon-Anbindung - Fehler und Bugs 0
Neu Sortiernummer - WaWi Kategorien werden immer vor die eihnen Seiten sortiert Allgemeine Fragen zu JTL-Shop 0
Neu Rechnungs- und Lieferadresse werden nicht in die WAWI übertragen JTL-Shop - Fehler und Bugs 1
Neu Retouren unter Wawi 1.9 einbuchen - ich raffe es nicht. User helfen Usern - Fragen zu JTL-Wawi 0
Neu Retouren unter Wawi 1.9 einbuchen - ich raffe es nicht. Arbeitsabläufe in JTL-Wawi 1
Neu JTL-Wawi kein Datenbankzugriff nach Windows Update JTL-Wawi - Fehler und Bugs 6
Neu Hilfe! Nach dem Update auf 1.10.10.3 startet WAWI GUI nicht mehr! JTL-Wawi - Fehler und Bugs 1
Artikel Duplizieren bringt Fehlermeldung und WaWi hängt sich auf WaWi 1.10.10.3 JTL-Wawi 1.10 3
Neu Das Stable Release von JTL-Wawi 1.10 ist da! Releaseforum 0
Neu Server Hardware für eigenes Wawi / SQL Hosting Installation von JTL-Wawi 3
Neu Direkte Anbindung Wawi <-> Zahlungsanbieter möglich Schnittstellen Import / Export 3
Neu JTL Wawi / Shop / POS in der Schweiz Starten mit JTL: Projektabwicklung & Migration 0
Neu das JTL Konfigurator-Modul kann ich ab welcher Wawi Version nutzen ? User helfen Usern - Fragen zu JTL-Wawi 6
Neu Dienstleistungs-Gutschein in Deutschland -> Verkauf in die Schweiz (Steuereinstellung Wawi) Arbeitsabläufe in JTL-Wawi 2
Kategorien ohne WaWi aus Shop entfernen Einrichtung JTL-Shop5 2
JTL Wawi startet nicht mehr nach Windows Update KB5055683 JTL-Wawi 1.9 1
Nach Shopabgleich wird der Auftrag in Wawi immer mit Versandart "Abholung" gesetzt JTL-Wawi 1.9 0
Inkompatible Version JTL WAWI - Die verwendete Version ist zu alt JTL-Wawi 1.9 3
Artikel wird nach Erstellung nicht in der Wawi angezeigt, ist aber in der Datenbank vorhanden. JTL-Wawi 1.9 4
Neu Wie läuft eine Bestellung ab und wie bekomme ich die Aufträge aus dem Shop in die Wawi übertragen? Betrieb / Pflege von JTL-Shop 0
JTL-Wawi 1.9.7.1 – Wie kann man "Suchbegriffe" für Kaufland.de anlegen? JTL-Wawi 1.9 0
Amazon Bestellungen mit Versandentgelt kaufen im Seller Central automatisch in der Wawi abschließen JTL-Wawi 1.9 0
Neu Probleme beim Abgleich von JTL WAWI und JTL Shop JTL-Wawi - Fehler und Bugs 7
Neu JTL Wawi - SaaS Shopware 6 - Eigene Felder anlegen User helfen Usern - Fragen zu JTL-Wawi 0
Neu JTL Wawi Beschaffung - keine EK Preise User helfen Usern - Fragen zu JTL-Wawi 6
Email aus der WAWI 1.9.7.0 werden nicht an Kunden gesendet JTL-Wawi 1.9 3
Neu Import demo database for Wawi User helfen Usern - Fragen zu JTL-Wawi 0
Neu Übermittlung von Transparency-Seriennummern an Amazon mit JTL-Wawi Amazon-Anbindung - Ideen, Lob und Kritik 0
Auftragsimport eBay in JTL-WaWi nicht automatisiert möglich JTL-Wawi 1.9 3
PayPal Zahlungsabgleich in Wawi nicht mehr sichtbar wegen zu langem Verwendungszweck? JTL-Wawi 1.9 2
Neu WAWI <-> Schweizer Post - Webshop Connector International Schnittstellen Import / Export 0
In JTL-POS Voucher drucken über JTL Wawi Allgemeine Fragen zu JTL-Vouchers 4
adjust markup on jtl-wawi 1.9.7.0 JTL-Wawi 1.9 0
häufige Abstürze JTL Wawi 1.9.0 auf einzelnen Clients JTL-Wawi 1.9 10
JTL WaWi Rest API Server startet nicht über die Konsole Windows Server JTL-Wawi 1.9 1
Neu "JTL-Wawi funktioniert nicht mehr" JTL-Wawi - Fehler und Bugs 1
Massenumbenennung der Bilder in Wawi und Shop JTL-Wawi 1.9 2
Neu Warum wird im Shop 5 der Lieferanten-Artikelname anstatt WAWI-Artikelname angezeigt? Wie kann ich das ändern? Betrieb / Pflege von JTL-Shop 1
Neu Amazon Prime durch Verkäufer mit JTL-Wawi verknüpfen Amazon-Anbindung - Fehler und Bugs 1
WaWi Installieren auf Win10 JTL-Wawi 1.9 8
Neu Wawi 1.10.10.0 - Seit Update XRechnungen nicht mehr speicherbar JTL-Wawi - Fehler und Bugs 13
Neu Versandlabel direkt aus JTL WaWi JTL-ShippingLabels - Ideen, Lob und Kritik 1
Abgeschnittenes Fenster - JTL Wawi 1.9.5.4 JTL-Wawi 1.9 0
Neu JTL WAWI Versandarten Tracking URL Felder werden nicht agezeigt JTL-Wawi - Fehler und Bugs 1
Neu Gastkunde registriert sich bei zweiter Bestellung - und die Wawi bekommt es nicht mit! Shopware-Connector 0
Neu Bedienbarkeit von JTL-Wawi per Screenreader NVDA/JAWS JTL-Wawi - Ideen, Lob und Kritik 1
Keine Verbindung Mit JTL Shop 5 obwohl sync PW und Sync Benutzer in php identisch mit Wawi Einrichtung JTL-Shop5 5
Neu Übernahme JTL Wawi mit Onlineshop und JTL-POS Starten mit JTL: Projektabwicklung & Migration 3
Issue angelegt [WAWI-75077] Workflow Mahnlauf ignoriert Karenztage JTL-Workflows - Fehler und Bugs 3
Verkaufte Artikel von eBay werden in wawi nicht angezeigt . JTL-Wawi 1.9 0

Ähnliche Themen

Top Bottom